CS #001 Cyber Resilience Act

Cybersicherheit  – ein Begriff der nicht mehr neu ist aber dennoch künftig verstärkt in den Focus von Produktherstellern und weiteren Wirtschaftsakteuren geraten wird. Auch die technische Redaktion ist gehalten, sich mit dem Thema baldmöglichst intensiv zu befassen.

Nach derzeitigen Schätzungen beträgt der durch Cyberangriffe auf Hard- und Software entstandene Schaden bis zum Jahre 2021 5,5 Billionen EUR.

Als Ursachen dafür gelten im Wesentlichen ein niedriges Cybersicherheitsniveau sowie ein unzureichendes Verständnis der Nutzer, verbunden mit ungenügender Informationslage über die Auswahl von Produkten mit angemessenen Cybersicherheitseigenschaften.

Ein Umstand, der dazu führt, dass Schwachstellen in digitalen Produkten schnell zu einer großflächigen Bedrohungslage werden, liegt im globalen Handel. Ein angreifbares Produkt, das beispielsweise über die großen Online-Handelsplattformen weltweit vertrieben wird, kann so in kürzester Zeit ursächlich für diverse – auch weltweite – Sicherheitsprobleme sein.

Nun ist das Thema Cybersicherheit aber nicht auf den Bereich der Consumerprodukte beschränkt, sondern grundsätzlich können alle Produkte mit digitalen Elementen zu einer Bedrohung der Cybersicherheit beitragen – besonders kritisch wird dies dann in Bereichen wie Industrie, Medizin, Versorgungsnetzen, Behörden und Verwaltungen. Immer wieder liest oder hört man von Angriffen auf IT-Infrastrukturen in den verschiedensten Bereichen. Mal bleiben sie folgenlos, mal legen sie große Bereiche für eine längere Zeit lahm oder führen sogar zu weiteren tragischen Konsequenzen wie beispielsweise der Hackerangriff auf die Uniklinik Düsseldorf im Jahre 2020.

Fast immer nehmen die Bedrohungen ihren Weg dabei über das Internet in die diversen lokalen IT-Netzwerke. Mit steigender Anzahl hierüber angreifbarer Produkte wird sich vermutlich zwangsläufig auch die Anzahl erfolgreicher Angriffe erhöhen.

Diese ganz besondere Bedrohungsszenarien sind immer wieder Gegenstand von Diskussionen. Konkret geht es hier um Angriffe auf die Infrastrukturen zur Versorgung mit Strom, Gas, Wasser, Telekommunikation u. a.. Diese sind durchaus real, wie ein Blick in zahlreiche Medien zeigt, und führende Fachleute rechnen mit einer drastischen Zunahme von Angriffen. Glücklicherweise gibt es hier diverse Schutzmaßnahmen auf Hard- und Softwareebene. Bei dem einen oder anderen Projekt konnten wir im Rahmen der CE-Zertifizierung wertvolle Unterstützung bieten.

Mir ist es  völlig unverständlich, warum sicherheitssensitive Bereich wie Versorgungsnetze, Krankenhäuser, Verkehrsleitungen und viele andere Einrichtungen eines Landes ausgerechnet über das Internet vernetzt sein müssen. Dies ist schließlich ein weltweites Netz zu dem auch unzählige hochqualifizierte Zeitgenossen freien Zugang haben, die ihr Wissen zum Schaden anderer anwenden. Und so manches Problem in Bezug auf IT-Sicherheit ist hausgemacht. So z. B. wenn ein Unternehmen den Mitarbeitern Zugang zum Firmennetzwerk über die privaten Endgeräte wie Smartphones oder Tablets erlaubt. Glück gehabt, wenn diese nicht mit Schadsoftware infiziert oder angreifbar sind.

Kennen Sie übrigens den Roman „Blackout“ von Marc Elsberg? Nur so viel: Es geht um einen europaweiten Ausfall der Stromversorgung der durch den gezielten Angriff auf Smartmeter (das sind diese intelligenten Stromzähler) hervorgerufen wird. Eines kann man wohl sagen: In der IT ist nichts wirklich dauerhaft sicher.

Und so versucht man mit zahlreichen Vorschriften und Gesetzen, jede erdenkliche Schwachstelle in IT-Netzen auszuräumen. Daher existieren auch in der EU Vorschriften für bestimmte Produkte mit digitalen Elementen, jedoch gibt es bislang keine umfassenden Cybersicherheitsanforderungen für alle Produkte mit digitalen Elementen (horizontale Wirkung).

A propos Cyber – was ist das eigentlich?

Je nachdem welche Quelle man heranzieht, liegt der Ursprung in dem Begriff cybernetics, welcher in den 70er Jahren für Mainframes der Firma Control Data Corporation verwendet wurde und heute für virtuelle Realität und allgemeine Computeranwendungen verwendet wird. Cybernetics wiederum soll auf dem griechischen cyber basieren, welches Steuerung bedeutet und in Zusammenhang mit der Navigation auf See verwendet wurde.

Ziel ist es nun die Cybersicherheitsvorschriften zur Gewährleistung sicherer Hardware- und Softwareprodukte in der EU zu stärken und einen einheitlichen Rechtsrahmen für grundlegende Cybersicherheitsanforderungen für das Inverkehrbringen von Produkten mit digitalen Elementen auf dem Markt der EU festzulegen.

Dies soll durch den sogenannten Cyber Resilience Act erfolgen. Achtung: Der Cyber Resilience Act ist aktuell nicht mehr als ein Vorschlag für eine Verordnung des EU-Parlamentes und des Rates über horizontale Cybersicherheitsanforderungen für Produkte mit digitalen Elementen. Dieser Podcast liefert daher nur einige allgemeine Informationen, die weder vollständig noch verbindlich sind.

Die Antwort finden wir in Artikel 1 wie folgt:

a) Vorschriften für das Inverkehrbringen von Produkten mit digitalen Elementen, um die Cybersicherheit solcher Produkte zu gewährleisten

b) grundlegende Anforderungen an die Konzeption, Entwicklung und Herstellung von Produkten mit digitalen Elementen sowie Pflichten der Wirtschaftsakteure in Bezug auf diese Produkte hinsichtlich der Cybersicherheit

c) grundlegende Anforderungen an die von den Herstellern festgelegten Verfahren zur Behandlung von Schwachstellen, um die Cybersicherheit von Produkten mit digitalen Elementen während ihres gesamten Lebenszyklus zu gewährleisten, sowie Pflichten der Wirtschaftsakteure in Bezug auf diese Verfahren

d) Vorschriften für die Marktüberwachung und die Durchsetzung der oben genannten Vorschriften und Anforderungen.

Hersteller sollen also in die Verantwortung genommen werden, sich während aller Phasen des Produktlebenszyklus gewissenhaft um die Cybersicherheit eines Produktes zu bemühen. Und Produktnutzern soll durch die Schaffung bestimmter Bedingungen die Möglichkeit eröffnet werden, die Cybersicherheit bei der Auswahl und Nutzung digitaler Produkte zu berücksichtigen.

Man geht davon aus, dass durch die Anforderungen des Cyber Resilience Act auch personenbezogene Daten besser geschützt werden dürften, da sie die Vertraulichkeit, Integrität und Verfügbarkeit dieser Daten in Produkten mit digitalen Elementen schützen und die Einhaltung der Sicherheitsanforderungen der Datenschutzgrundverordnung (DSGVO) erleichtern.

Der Cyber Resilience Act fordert in Artikel 5, dass Produkte mit digitalen Elementen nur dann auf dem Markt bereitgestellt werden dürfen, wenn Sie den grundlegenden Anforderungen gemäß Anhang I Abschnitt 1 genügen. Bedingung dabei ist, dass sie ordnungsgemäß installiert, gewartet und bestimmungsgemäß oder unter vernünftigerweise vorhersehbaren Umständen verwendet und ggfs. aktualisiert werden.

Außerdem müssen die vom Hersteller festgelegten Verfahren den grundlegenden Anforderungen in Anhang I Abschnitt 2 entsprechen.

Nun haben wir bereits mehrfach den Begriff „Produkt mit digitalen Elementen“ gehört. Was ist darunter zu verstehen? Ist der LED-Wecker auf dem Nachtisch ein solches Produkt?

Nach Artikel 3 ist ein Produkt mit digitalen Elementen ein Hard- oder Softwareprodukt und seiner Datenfernverarbeitungslösungen inklusive Software und Hardwarekomponenten die getrennt in Verkehr  gebracht werden sollen.

Ist also der LED-Wecker damit ein Produkt, das unter den Cyber Resilience Act fällt?

Juristen würden vermutlich sagen: Es kommt darauf an …
Dem Cyber Resilience Act ist nämlich in Artikel 2, Abs. 1 zu entnehmen – Zitat:

Diese Verordnung gilt für Produkte mit digitalen Elementen, deren bestimmungsgemäße und vernünftigerweise vorhersehbare Verwendung eine direkte oder indirekte logische oder physische Datenverbindung mit einem Gerät oder Netz einschließt.

Der Knackpunkt ist offensichtlich der Begriff Datenverbindung. Daraus liesse sich folgern, dass der LED-Wecker, wenn er ohne jegliche Möglichkeit der Kommunikation mit anderen Geräten konstruiert ist, vermutlich nicht darunter fällt. Besitzt er hingegen beispielsweise eine WLAN-Schnittstelle (damit der Benutzer sich mit einer Radiosendung von einem Online-Radiosender wecken lassen kann) dürfte der LED-Wecker unter den Cyber Resilience Act fallen.

In Zusammenhang mit dem Begriff Datenverbindung kann man den Begriff Datenfernverarbeitung nennen. Hierunter versteht man die Möglichkeit, Datenverarbeitung auf einem entfernten System durchzuführen. Für gewöhnlich wird man dies über das Internet realisieren aber auch eine lokale Netzwerkverbindung im Unternehmen oder privaten Haushalt fällt durchaus darunter. Entscheidend ist, dass Daten – aus welchem Grund auch immer – zum Zweck der Verarbeitung zwischen zwei oder mehreren Systemen hin- und herübertragen werden. Die dafür erforderliche Datenverbindung kann nun gemäß der Definition physischer oder logischer Natur sein. Wie diese definiert sind, erklärt uns Artikel 3:

Eine physische Verbindung ist gegeben, wenn zwei oder mehr Systeme oder Komponenten über eine nach außen wirkende Kommunikationsschnittstelle Daten austauschen. Ob es sich hierbei um eine drahtgebundene (Ethernet) oder drahtlose ( WLAN oder Bluetooth) handelt, ist dabei unerheblich. Eine Besonderheit fällt bei genauem Hinsehen in der Definition auf. Hören wir den genauen Wortlaut:

Eine physische Verbindung ist – Zitat: „eine Verbindung zwischen elektronischen Informationssystemen oder Komponenten, die mit physikalischen Mitteln wie elektrischen oder mechanischen Schnittstellen, Drähten oder Funkwellen hergestellt wird“.
Aufgepasst? Es geht um mechanische Schnittstellen. Offen gesagt tue ich mich aktuell etwas schwer damit zu verstehen, worin hier die praktische Anwendung zu sehen ist. Wo und wie werden heute Daten zur Verarbeitung mechanisch übertragen?

Eine logische Verbindung hingegen ist eine virtuelle Darstellung einer Datenverbindung, die über eine Softwareschnittstelle hergestellt wird. (Beispiel: Eine direkte Übertragung eines Audiostreams aus einer Anwendung in eine andere Anwendung mit einer weiteren Anwendung wie z. B. Virtual Cable).

Hier wird es dann etwas kompliziert, denn demnach scheint es also keineswegs erforderlich, dass Daten zwischen zwei räumlich getrennten Systemen beispielsweise über ein Netzwerk übertragen werden.

Diese Datenübertragung erfolgt ja auf ein und demselben System – nur eben zwischen zwei Anwendungen. Auch hier bin ich mir aktuell nicht sicher, ob meine Interpretation korrekt ist. Kann denn beispielsweise ein Computer, der keinerlei Anbindung zu anderen Systemen unterhält gefährdet im Sinne des Cyber Resilience Act sein, nur weil zwei Anwendungen die auf ihm laufen untereinander Daten austauschen? Widerspricht dies nicht der eben gehörten Festlegung in Artikel 2 Abs. 1?

Vermutlich aber geht es hier generell darum, dass Software grundsätzlich sicher sein muss – egal ob sie nach außen oder innen kommuniziert.

Wie dem auch sei, welche Pflichten kommen den nun auf die Hersteller mit dem Cyber Resilience Act zu?

Gemäß Artikel 10 müssen Hersteller von Produkten mit digitalen Elementen u.a.  gewährleisten, dass diese Produkte gemäß den grundlegenden Anforderungen in Anhang I Abschnitt 1 konzipiert, entwickelt und hergestellt werden. In diesem Zusammenhang müssen Hersteller eine Bewertung der Cybersicherheitsrisiken des Produktes durchführen und in alle Produktlebensphasen berücksichtigen. Diese Bewertung ist in der technischen Dokumentation aufzunehmen.

Die Hersteller müssen auch gewährleisten, dass den Produkten die in Anhang II genannten Informationen und Anleitungen in elektronischer Form oder in Papierform beiliegen und für den Benutzer leicht verständlich sein.

In Bezug auf Anleitungen in elektronischer Form dürfte sich nun wohl auch die Frage stellen, wie es hier mit der Kompatibilität zum Cyber Resilience Act aussieht. Welche Auswirkungen haben die Anforderungen beispielsweise auf die Arbeit in der technischen Redaktion?

Während des Produktlebenszyklus muss das Produkt hinsichtlich der Vorgaben überwacht werden. Beim Auftreten von Cybersicherheitsproblemen müssen kostenfreie Updates bereitgestellt werden.

Sofern meldepflichtige Vorfälle im Zusammenhang mit der Cybersicherheit auftreten, ist der Hersteller zudem verpflichtet, diese der EU-Cybersicherheitsbehörde ENISA zu melden.

Die ENISA (European Union Agency for Cybersecurity) ist die Agentur der europäischen Union für Cybersicherheit mit Sitz in Athen.

Sie soll die Netz- und Informationssicherheit in der EU gewährleisten.

Hierzu

• erteilt sie einzelstaatlichen Behörden und den EU-Institutionen fachkundige Ratschläge zur Netz- und Informationssicherheit
• fungiert als Forum für den Austausch bewährter Verfahren
• erleichtert Kontakte zwischen EU-Institutionen, staatlichen Behörden und Unternehmen.

Die ENISA ist im Internet unter https://www.enisa.europa.eu/ zu erreichen.

Aber nicht nur der Hersteller, sondern auch weitere Wirtschaftsakteure haben Pflichten.

So muss der Einführer nach Artikel 13 sicherstellen, dass er nur Produkte in Verkehr bringt, die den grundlegenden Anforderungen in Anhang I Abschnitt 1 genügen und bei denen die vom Hersteller festgelegten Verfahren den grundlegenden Anforderungen des Anhangs I Abschnitt 2 entsprechen.

Darüber hinaus muss der Einführer vor Inverkehrbringen des Produktes sicherstellen, dass der Hersteller die geforderten Konformitätsbewertungsverfahren nach Artikel 24 durchgeführt und die technische Dokumentation erstellt hat. Außerdem muss er sicherstellen, dass das Produkt mit der nach Artikel 22 geforderten CE-Kennzeichnung versehen ist und ihm die Informationen sowie Gebrauchsanleitungen entsprechend Anhang II beiliegen.

Und auch die Händler haben weitreichende Pflichten. Nach Artikel 14 müssen sie vor Bereitstellung des Produktes auf dem Markt prüfen, ob das Produkt mit der CE-Kennzeichnung versehen ist. Außerdem müssen sie sicherstellen, dass der Hersteller gemäß Artikel 10 Absatz 10 und Absatz 11 die geforderten Informationen und die EU-Konformitätserklärung zur Verfügung stellt.

Außerdem müssen Sie sicherstellen, dass der Einführer die in Artikel 13 Absatz 4 genannten Informationen zur Verfügung stellt.

Und was passiert, wenn einer der Wirtschaftsakteure gegen die Anforderungen des Cyber Resilience Act verstößt?

Hier drohen gem. Artikel 53 empfindliche Strafen: So können die betroffenen Produkte vom Markt genommen und je nach Verstoß Bußgelder in Höhe bis zu 15 Millionen EUR bzw. bei Unternehmen bis zu 2,5 % des weltweiten Umsatzes verhängt werden. Außerdem ist es ggfs. möglich, die Geschäftsleitung mit ihrem Privatvermögen haften zu lassen.

Sind nun eigentlich alle Produkte mit digitalen Elementen vom Cyber resilience Act betroffen?

Der Cyber Resilience Act wird nicht für Produkte mit digitalen Elementen gelten welche unter die Medizinprodukteverordnung (EU) 2017/745 und die Verordnung über Invitro-Diagn ostika (EU) 2017/746 fallen. Beide Verordnungen enthalten entsprechende Anforderungen.

Der Cyber Resilience Act gilt auch nicht für Produkte mit digitalen Elementen die unter die Verordnung (EU) 2019/2144 (Typgenehmigungen von Kfz, Kfz-Anhängern sowie Systeme, Bauteil und selbständige technische Einheiten für diese Fahrzeuge) fallen.

Desweiteren sollen auch  Produkte mit digitalen Elementen, die nach der Verordnung 2018/1139 (Flugsicherheit) zertifiziert wurden, von dem Cyber Resilience Act nicht erfasst werden.

Absatz 10 der Erwägungsgründe führt aus, dass zur Vermeidung von Behinderungen von Innovation und Forschung freie und quelloffene Software, die abseits einer Geschäftstätigkeit entwickelt oder breitgestellt wird, nicht unter den Cyber Resilience Act fällt. Dies gilt in besonderem Maße für Software (inklusive ihres Quellcodes oder veränderter Versionen), die frei zugänglich, nutzbar und veränderbar ist und weiterverteilt werden kann.

Achtung: Auch wenn eine Software kostenlos weitergegeben wird, kann eine auf sie bezogene kostenpflichtige Dienstleistung als Geschäftstätigkeit gewertet werden. Dies gilt auch, wenn  personenbezogene Daten für Zwecke verwendet werden, die nicht der Verbesserung der Sicherheit und Kompatibilität der Software oder ihrer Zusammenarbeit mit anderen Systemen dienen.

Nun stellt sich jedoch die Frage, in wie weit diese Ausnahme nicht den Sicherheitsanforderungen des Cyber Resilience Act zuwiderläuft.
Schließlich gibt es eine Vielzahl leistungsfähiger Anwendungen die als freie Software lizensiert sind. Und wer ist schlussendlich in der Verantwortung, wenn in einem Produkt freie Software verwendet wird?

Im Zusammenhang mit Software ergibt sich mindestens eine weitere Frage: Wenn ich Software – egal ob kommerziell oder frei – aus dem EU-Ausland erwerbe und in mein Produkt integriere: Bin ich dann Importeur oder Händler eines Produktes  mit allen sich daraus ergebenden Pflichten?

Halten wir also fest:

• Mit dem Cyber Resilience Act soll eine produktübergreifende Möglichkeit geschaffen werden Cybersicherheitsvorschriften zur Gewährleistung sicherer Hardware- und Softwareprodukte in der EU zu stärken und einen einheitlichen Rechtsrahmen für grundlegende Cybersicherheitsanforderungen für das Inverkehrbringen von Produkten mit digitalen Elementen auf dem Markt der EU festzulegen.
• Hersteller sind in der Verantwortung alles zu unternehmen, um den Anforderungen des Cyber Resilience Act zu entsprechen. Verstöße können erhebliche Konsequenzen nach sich ziehen.
• Unter den Cyber Resilience Act fallen Produkte mit digitalen Elementen. Dies sind per Definition Hard- oder Softwareprodukte und ihre Datenfernverarbeitungslösungen inklusive Software und Hardwarekomponenten die getrennt in Verkehr gebracht werden sollen.
• Der Cyber Resilience Act ist nicht nur für Hersteller, sondern auch für weitere Wirtschaftsakteure wie Einführer und Händler verbindlich.
• Und: Es scheinen noch eine Reihe von Unklarheiten zu bestehen, die es zu prüfen gilt um Rechtssicherheit zu erlangen. Neben den bereits genannten dürften sich auch weitere Fragen ergeben wie etwa:
  Werden bereits am Markt befindliche Produkte mit digitalen Elementen vom Cyber Resilience Act erfasst?
  Wie werden aktuell in der Entwicklung befindliche Produkte mit digitalen Elementen vom Cyber Resilience Act erfasst?